cybersec news | ИБ и IT

Исследователь безопасности продемонстрировал способ взлома некоторых электронных сейфов производства компании SentrySafe с использованием устройства Flipper Zero и эксплуатации уязвимости в протоколе управления контроллера. В подробном видео показан процесс реверс-инжиниринга принципа работы сейфа, использующего соленоид для блокировки/разблокировки механизма запирания двери. Осуществляется перехват данных, передаваемых по протоколу UART от панели ввода ПИН-кода к основному контроллеру сейфа. Для автоматизации процесса взлома используется приложение CentrySafe, написанное сообществом разработчиков специально для устройства Flipper Zero. Оно эксплуатирует уязвимость и позволяет установить новый ПИН-код, тем самым открывая сейф.

Компания Microsoft опубликовала исходный код MS-DOS 4.00, бинарники, образы дисков и документацию. Теперь исходный код, которому почти 45 лет, доступен под лицензией MIT, то есть с ним можно свободно работать, изменять и распространять. Десять лет назад Microsoft уже передавала исходники MS-DOS 1.25 и 2.0 Музею компьютерной истории, а затем повторно опубликовала их и на GitHub. В компании отмечают, что этот код занимает важное место в истории операционной системы, которая была полностью написана на ассемблере для 8086 почти полвека назад. Теперь был обнародован и исходный код MS-DOS 4.00, отныне доступный под лицензией MIT. В Microsoft напоминают, что MS-DOS 4.00 — это довольно интересная версия, написанная совместно с IBM. В прошлом именно от MS-DOS 4.00 было образовано ответвление Multitasking DOS (или MT-DOS), которое в итоге не получило широкого распространения. В своем сообщении об открытии исходного кода MS-DOS 4.00 представители Microsoft рассказывают, что этот релиз увидел свет благодаря переписке между бывшим техническим директором Microsoft Рэем Оззи и молодым британским исследователем Коннором Хайдом, также известным под ником Starfrost. Дело в том, что многие исходники и материалы, теперь доступные на GitHub, были предоставлены Оззи, который когда-то давно работал в компании Lotus, и ему прислали несколько неизданных бета-версий MS-DOS 4. С тех пор Оззи хранил дискеты в надежном месте, а недавно нашел их по просьбе Хайда. В итоге Starfrost связался с отделом Microsoft, который занимается открытым исходным кодом (OSPO), чтобы изучить возможность публикации исходников DOS 4. Ведь сам Хайд работает над документированием взаимосвязей между DOS 4, MT-DOS и тем, что в итоге стало OS/2. Отмечается, что некоторые более поздние версии бинарников Multitasking DOS можно было найти в интернете, но бета-версии Оззи – это более ранние копии, которые не выпускались ранее.

На этой неделе Google выпустила обновление для Chrome 124, которое исправляет четыре сразу уязвимости, включая критическую проблему CVE-2024-4058 в ANGLE. Учитывая, что уязвимости присвоен рейтинг «критической», и она представляет собой баг типа type confusion, вероятнее всего она может использоваться удаленно для выполнения произвольного кода или побега из песочницы при ограниченном взаимодействии с пользователем. Стоит сказать, что за последние годы лишь несколько уязвимостей в Chrome получили статус «критических». Google поблагодарила за обнаружение CVE-2024-4058 специалистов из группы Qrious Secure. За свои находки исследователи получили вознаграждение в размере 16 000 долларов. Также Qrious Secure сообщила Google еще как минимум о двух уязвимостях в Chrome: CVE-2024-0517, которая допускает удаленное выполнение кода, и CVE-2024-0223, которая, по словам исследователей, «может быть использована непосредственно через JavaScript, потенциально предоставляя привилегии GPU». Обе проблемы были исправлены в начале текущего года. Google не сообщает о том, что CVE-2024-4058 уже может эксплуатироваться хакерами. Однако злоумышленники нередко эксплуатируют ошибки типа confusion, найденные в Chrome, хотя чаще такие уязвимости затрагивают JavaScript-движок V8.

Lazarus Group, известное хакерское объединение, традиционно ассоциируемое с Северной Кореей, использовало заманчивые предложения о работе для доставки нового троянца удалённого доступа (RAT) под названием Kaolin RAT в рамках атак, нацеленных на конкретных лиц в Азии летом 2023 года. Как сообщил исследователь безопасности из Avast, этот вредоносный софт может, помимо стандартных функций RAT, изменять временную метку последней записи выбранного файла и загружать любой полученный DLL-бинарный файл с C2-сервера злоумышленников. RAT служит каналом для доставки руткита FudModule, который недавно использовал уязвимость CVE-2024-21338 в драйвере appid.sys для получения примитивов чтения/записи в ядре и в конечном итоге для отключения механизмов безопасности. Использование Lazarus ловушек с предложениями о работе для проникновения в системы не является новинкой. Долгосрочная кампания под названием «Operation Dream Job» показывает, что группа использует различные социальные сети и платформы мгновенных сообщений для доставки вредоносного ПО. Цепочка заражения начинается с того, что цели атаки запускают злонамеренный образ оптического диска, содержащий три файла, один из которых маскируется под клиент Amazon VNC («AmazonVNC.exe»), который на самом деле является переименованной версией законного приложения Windows «choice.exe». Два других файла, «version.dll» и «aws.cfg», служат катализатором для начала заражения. В частности, исполняемый файл «AmazonVNC.exe» используется для DLL Sideloading вредоносной библиотеки «version.dll», которая, в свою очередь, запускает процесс IExpress.exe и внедряет в него полезную нагрузку, находящуюся в «aws.cfg». Эта полезная нагрузка предназначена для загрузки шелл-кода с C2-домена, который, как предполагается, принадлежит итальянской компании, специализирующейся на добыче и обработке мрамора и гранита. Вероятно, этот домен был скомпрометирован злоумышленниками.

Исследователи сообщают об актуальной мошеннической схеме, в рамках которой людям предлагают заработать на криптовалюте Toncoin (TON) через Telegram. Схема работает по принципу пирамиды и нацелена, в том числе, на русскоговорящих пользователей. По данным компании, сначала потенциальную жертву побуждают вложить деньги в TON, а потом пригласить в специальный чат в мессенджере своих знакомых и получать за это комиссию. Однако на деле человек лишь рискует потерять свои деньги. Чтобы вовлечь людей, мошенники подготовили две подробные видеоинструкции — на русском и английском языках, а также текстовые материалы со скриншотами. Сначала пользователь должен завести специальный криптокошелек — через неофициальный бот для хранения криптовалюты в Telegram. Потом ему нужно воспользоваться отдельным Telegram-ботом, через который якобы он сможет зарабатывать, и ввести туда адрес своего кошелька. Далее требуется купить криптовалюту и перевести ее на свой кошелек. Для покупки предлагается использовать легитимные инструменты: P2P-маркеты, криптообменники или официального бота в Telegram. После этого нужно активировать того самого отдельного Telegram-бота для заработка, выбрав один из платных тарифов-«ускорителей»: их стоимость варьируется от 5 до 500 TON. Создатели пирамиды уверяют, что чем дороже тариф, тем быстрее человек начнет «зарабатывать». Жертве предлагается выбор из пяти тарифов: «велосипед», «машина», «поезд», «самолет» и «ракета». Чем дороже тариф, тем выше комиссионный процент, — «велосипед» стоит 5 TON и дает 30% комиссии, а «ракета» — 500 TON и 70%. То есть пользователи рискуют потерять более 500 TON, если выберут самый дорогой тариф. Затем пользователь должен создать закрытую группу в Telegram и пригласить туда своих знакомых. Мошенники просят разместить в группе два видео — презентацию сервиса и инструкцию по активации, а также реферальные ссылки для регистрации криптокошелька и установки Telegram-бота для «заработка».

🛡 Канал для специалистов по информационной безопасности Security Vision - еженедельные статьи, бесплатные вебинары, разбор работы платформы для специалистов и актуальные новости. ➡️ Подписывайтесь и будьте в курсе ИБ вместе с @svplatform

iSharing, насчитывающий 35 миллионов пользователей, устранил уязвимость в системе безопасности, которая приводила к сливу точной геолокации. В рамках исследования безопасности приложений для отслеживания локации Эрик Дейгл, студент из Ванкувера, обнаружил баг в утилите iSharing, которая на сегодняшний день насчитывает более 35 миллионов пользователей. По словам Дейгла, данная уязвимость предоставляла возможность получить доступ к чужим координатам, даже если пользователи не делились данными о своем местоположении. Брешь также раскрывала личную информацию юзеров: имя, фотографию профиля, адрес электронной почты и номер телефона, используемые для входа в приложение. Данный баг указывает на то, что серверы iSharing не проверяли должным образом, разрешён ли пользователям доступ только к их данным о местоположении или же и к чьим-либо ещё. Это уже не первый случай, когда в приложениях для отслеживания местоположения находили уязвимости в безопасности, которые могли привести к утечке или раскрытию точной локации пользователей. Две недели назад Дейгл рассказал компании iSharing об обнаруженной уязвимости в приложении. Производители никак не отреагировали на его сообщение. Тогда Дейгл обратился за помощью к TechCrunch. Вскоре специалисты iSharing устранили уязвимость. Эрик Дейгл сообщил, что проблема заключалась в функции приложения под названием «группы», позволяющая создавать группу и добавлять туда других пользователей, тем самым делясь своим местоположением с другими юзерами.

Исследователи кибербезопасности выявили продолжающуюся кампанию кибератак, которая использует фишинговые письма для распространения вредоносного программного обеспечения под названием SSLoad. Кампания получила кодовое название FROZEN#SHADOW и включает в себя использование программы Cobalt Strike и программного обеспечения для удалённого доступа ConnectWise ScreenConnect. Специалисты из компании Securonix отметили, что SSLoad разработан для тайного проникновения в системы, сбора конфиденциальной информации и передачи данных операторам. Вредонос устанавливает сразу несколько бэкдоров и полезных нагрузок в системе жертвы, чтобы сохранить быстрый доступ и избежать обнаружения. Фишинговые атаки случайным образом нацелены на организации в Азии, Европе и Америке. Письма содержат ссылки, ведущие к скачиванию JavaScript-файла, который и запускает цепочку заражения. Ранее в этом месяце Palo Alto Networks обнаружила по меньшей мере два различных метода распространения SSLoad: один предполагает использование контактных форм для встраивания URL-адресов-ловушек, а другой включает документы Microsoft Word с поддержкой макросов. Помимо этого, фишинг через контактные формы активно применяется для распространения другого вредоносного ПО — Latrodectus. JavaScript-файл, запущенный через «wscript.exe», подключается к сетевому ресурсу и скачивает MSI-установщик, который, в свою очередь, выполняет установку SSLoad через «rundll32.exe» и устанавливает связь с сервером управления. В начальной фазе разведки, используя Cobalt Strike, злоумышленники устанавливают ScreenConnect, что позволяет им удалённо контролировать заражённый хост. Затем они начинают сбор учётных данных и сканирование системы на предмет чувствительной информации. Исследователями наблюдалось, что атакующие переходят к другим системам в сети, включая контроллер домена, и в конечном итоге создают собственную учётную запись администратора домена.

Киберпреступная группа CiberInteligenciaSV опубликовала на BreachForums часть исходного кода биткойн-кошелька Chivo, используемого правительством Сальвадора. Этот шаг последовал за серией взломов Chivo, включая недавнюю утечку персональных данных 5,1 миллиона сальвадорцев в начале апреля. 22 апреля местный кибербезопасный проект VenariX предупреждал в X о том, что хакеры планируют выложить код в сеть, ссылаясь на телеграм-канал CiberInteligenciaSV. Также был опубликован файл Codigo.rar, содержащий скомпилированный код и VPN-данные для доступа к сети банкоматов. В сентябре 2021 Сальвадор стал первой страной, признавшей биткойн законным платежным средством. Власти активно продвигали Chivo как официальный кошелек для населения, позволяющий покупать, продавать, хранить и снимать BTC через банкоматы. Однако с самого запуска Chivo сопровождали многочисленные жалобы на баги, технические сбои и ошибки в работе. Что интересно, несмотря на сообщения о недавней утечке, правительство Сальвадора до сих пор официально не прокомментировало ситуацию.

В китайских клавиатурах для смартфонов выявили уязвимости, позволяющие перехватить нажатие клавиш пользователем. Проблемы затрагивают восемь из девяти таких приложений от Baidu, Honor, iFlytek, OPPO, Samsung, Tencent, Vivo и Xiaomi. Как выяснили исследователи из Citizen Lab, единственный разработчик, чьи клавиатуры не содержат описанных уязвимостей, — техногигант Huawei. По оценкам аналитиков, баги этого класса могут угрожать миллиарду пользователей, предпочитающих мобильные устройства китайского рынка. Среди зафиксированных проблем Citizen Lab выделила следующие: - Баг Baidu IME позволяет перехватчикам в Сети расшифровывать передачу данных и извлекать введённый текст. Всему виной ошибка в шифровании BAIDUv3.1. - iFlytek IME — соответствующее Android-приложение позволяет восстанавливать некорректно зашифрованные сетевые передачи в виде простого текста. - Редактор методов ввода Samsung на Android передаёт нажатия клавиш в незашифрованном виде по HTTP. IME от Xiaomi, OPPO, Vivo и Honor содержат те же вышеописанные дыры. Пользователям рекомендуют держать в актуальном состоянии операционную систему и установленные приложения, а также перейти с облачных клавиатур на те, что работают на устройстве.